「OneThird CMS」にブラウザ上で任意のスクリプトを実行される複数の脆弱性(JVN) | ScanNetSecurity
2026.01.22(木)

「OneThird CMS」にブラウザ上で任意のスクリプトを実行される複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、SpiQeソフトウェアが提供する「OneThird CMS」に複数のXSSの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
19 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月7日、SpiQeソフトウェアが提供する「OneThird CMS」に複数のクロスサイトスクリプティング(XSS)の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは6.1。CVE-2017-2124は東京電機大学 情報通信工学科 暗号方式・暗号プロトコル研究室の高木智氏、CVE-2017-2123は三井物産セキュアディレクションの小河哲之氏が、それぞれ報告を行った。

「OneThird CMS v1.73 Heaven's Door およびそれ以前」には、お問い合わせフォームの処理に起因するXSSの脆弱性(CVE-2017-2124)、および言語選択画面の処理に起因するXSSの脆弱性(CVE-2017-2123)が存在する。この脆弱性が悪用されると、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 社員用 VPN の認証不十分ほか ~ サイバー攻撃による情報漏えいで仏企業に 73 億円の制裁金

    社員用 VPN の認証不十分ほか ~ サイバー攻撃による情報漏えいで仏企業に 73 億円の制裁金

  2. デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

    デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

  3. ホリプロ実施の「ミュージカル『ジキル&ハイド』製作発表オーディエンス募集」の申込受付用フォームで個人情報が閲覧可能に

    ホリプロ実施の「ミュージカル『ジキル&ハイド』製作発表オーディエンス募集」の申込受付用フォームで個人情報が閲覧可能に

  4. シスコのスパムメール隔離サーバの未知の脆弱性悪用 ~ 慶應義塾大学に不正アクセス

    シスコのスパムメール隔離サーバの未知の脆弱性悪用 ~ 慶應義塾大学に不正アクセス

  5. リークサイトで取引先情報の公開を確認 ~ 東北新社グループ会社にランサムウェア攻撃

    リークサイトで取引先情報の公開を確認 ~ 東北新社グループ会社にランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP